研究人员发现新的 bootlocker 勒索软件——RedBoot

近日，研究人员发现一个新的 bootlocker 勒索软件，被称为 RedBoot，它对受感染的计算机上的文件进行加密，可以取代系统驱动器的主引导记录（MBR），并修改分区表。被 RedBoot 攻击后，无法输入解密密钥来恢复 MBR 和分区表，这表明 RedBoot 可能是一种 wiper。

当 RedBoot 勒索软件在被入侵的计算机上执行时，会将 5 个其他文件解压到包含启动器的目录下的随机文件夹中：

boot.asm。 – 一个汇编文件，可以被编译到新的主引导记录中。 当 boot.asm 被编译时，将生成 boot.bin 文件；
assembler.exe – 一个重命名的 nasm.exe 副本，用于将 boot.asm 程序集文件编译到主引导记录 boot.bin 文件中；
main.exe – 用户模式加密程序，可以加密计算机上的文件；
overwrite.exe – 利用新编译的 boot.bin 文件覆盖主引导记录；
protect.exe – 可执行文件，能终止并阻止任务管理器、进程入侵程序等各种程序的运行。

提取文件后，主启动器将编译生成 boot.bin 的 boot.asm 文件。一旦 boot.bin 被编译，启动器将删除 boot.asm 和 assembly.exe 文件，然后使用 overwrite.exe 程序覆盖当前主引导记录。此时，恶意软件启动加密过程，启动器将启动 main.exe，扫描计算机获取文件，用于加密 .locked 扩展名下的文件。 main.exe 程序还将执行 protect.exe 组件来阻止杀毒软件。

所有文件被加密后，RedBoot 勒索软件将重新启动计算机，并显示勒索界面，指示受害者将 ID 密钥发送到 redboot@memeware.net 以获得付款说明。

不幸的是，即使受害者联系了攻击者并支付了赎金，硬盘驱动器可能也无法恢复，因为 RedBoot 会永久修改分区表。